Vous êtes sur la page 1sur 39

Wallix AdminBastion 4.

1 - Guide de lutilisateur

Wallix AdminBastion 4.1


Guide de lutilisateur

Wallix AdminBastion 4.1 - Guide de lutilisateur

Wallix AdminBastion 4.1: Guide de lutilisateur

ii

Wallix AdminBastion 4.1 - Guide de lutilisateur

Table des matires


1. Introduction ............................................................................................................................. 1
1.1. Prambule ..................................................................................................................... 1
1.2. Copyright, Licences ....................................................................................................... 1
1.3. Lgende ........................................................................................................................ 1
1.4. propos de ce document ............................................................................................... 1
2. Principes Gnraux ................................................................................................................... 2
3. Utilisation de linterface Web .................................................................................................... 3
3.1. Mes Prfrences ............................................................................................................ 4
3.2. Mes Autorisations .......................................................................................................... 5
3.3. Authentification par certificat X509 ................................................................................. 6
4. Connexion aux quipement cibles .............................................................................................. 8
4.1. Gnralits .................................................................................................................... 8
4.2. Authentification par mot de passe ou par cl ..................................................................... 8
4.2.1. Gnration dune cl sous Linux ........................................................................... 8
4.2.2. Gnration dune cl sous Windows ...................................................................... 9
4.3. Authentification simplifie en mode X509 ...................................................................... 13
4.4. Connexions SSH depuis un poste de travail Unix/Linux .................................................... 14
4.4.1. Session shell ..................................................................................................... 14
4.4.2. Excution de commande(s) distance .................................................................. 14
4.4.3. Transfert de fichier avec SCP ............................................................................. 15
4.4.4. Transfert de fichier avec SFTP ............................................................................ 16
4.4.5. Session X11 ...................................................................................................... 16
4.4.6. Se connecter sans connatre le nom de la cible ...................................................... 16
4.4.7. Se connecter avec lagent dauthentification .......................................................... 17
4.4.8. Se connecter en activant le transfert dauthentification ............................................ 17
4.4.9. SCP avec le transfert dauthentification ................................................................ 18
4.5. Connexions SSH depuis un poste de travail Windows ....................................................... 19
4.5.1. Session shell avec le logiciel PuTTY ................................................................... 19
4.5.2. Transfert de fichier avec PSCP ............................................................................ 20
4.5.3. Transfert de fichier avec FileZilla ........................................................................ 20
4.5.4. Transfert de fichier avec WinSCP ........................................................................ 21
4.5.5. Se connecter avec lagent dauthentification .......................................................... 23
4.5.6. Se connecter avec PuTTY en activant le transfert dauthentification ......................... 24
4.6. Connexions RDP .......................................................................................................... 24
4.6.1. Depuis un poste de travail Windows (XP, Vista, Seven) ......................................... 24
4.6.2. Depuis un poste de travail Linux ......................................................................... 27
4.7. Connexions HTTPS ...................................................................................................... 30
5. Problmes de connexion .......................................................................................................... 32
5.1. Gnralits .................................................................................................................. 32
5.2. Spcificits SSH .......................................................................................................... 32
5.3. Session SSH muette ..................................................................................................... 33
6. Note sur lenregistrement des sessions ...................................................................................... 34
7. Accs au service Support ......................................................................................................... 35

iii

Wallix AdminBastion 4.1 - Guide de lutilisateur

Liste des illustrations


3.1. cran de connexion Wallix AdminBastion ................................................................................ 3
3.2. cran aprs authentification .................................................................................................... 4
3.3. Prfrences dun utilisateur ..................................................................................................... 5
3.4. Autorisations dun utilisateur ................................................................................................... 6
3.5. cran de connexion avec certificats ......................................................................................... 7
4.1. PuTTYgen ........................................................................................................................... 10
4.2. PuTTYgen aprs gnration de la cl ..................................................................................... 11
4.3. Pageant ............................................................................................................................... 12
4.4. Paramtres SFTP de Filezilla ................................................................................................. 13
4.5. Configuration de Putty .......................................................................................................... 19
4.6. Configuration de Putty (2/2) .................................................................................................. 20
4.7. Filezilla - Gestionnaire de site ............................................................................................... 21
4.8. Configuration de WinSCP ..................................................................................................... 22
4.9. Configuration des prfrences de WinSCP .............................................................................. 23
4.10. Enregistrement dun fichier .rdp ........................................................................................... 25
4.11. Client Terminal Server ........................................................................................................ 25
4.12. Slecteur RDP ................................................................................................................... 26
4.13. Paramtres de lancement du client MSTSC sous Windows 7 .................................................... 27
4.14. Mire de connexion RDP ...................................................................................................... 28
4.15. Fentre de connexion RDP pr-remplie ................................................................................. 29
4.16. Slecteur RDP ................................................................................................................... 29
4.17. Page Ouverture de session HTTPS .................................................................................. 31
5.1. Dsactiver le TTY sous Putty ................................................................................................ 33

iv

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 1. Introduction
1.1. Prambule
Nous vous remercions davoir choisi Wallix AdminBastion, galement appel WAB.
WAB est commercialis sous la forme de serveur ddi prt lemploi ou sous la forme dune
machine virtuelle pour environnements VMWare ESX 4.x et 5.x.
Les quipes Wallix ont apport le plus grand soin llaboration de ce produit et souhaitent quil
vous apporte entire satisfaction.

1.2. Copyright, Licences


Le prsent document est la proprit de la socit Wallix et ne peut tre reproduit sans son accord
pralable.
Tous les noms de produits ou de socits cites dans le prsent document sont des marques
dposes de leurs propritaires respectifs.
Wallix AdminBastion est soumis au contrat de licence logicielle Wallix.
Wallix AdminBastion est bas sur des logiciels libres. La liste et le code source des logiciels sous
licence GPL et LGPL utiliss par Wallix AdminBastion sont disponibles auprs de Wallix. Pour les
obtenir, il suffit den faire une demande par courriel wabsupport@rt.wallix.com ou par crit
ladresse suivante :
Wallix
Service Support
118, rue de Tocqueville
75017 Paris
France

1.3. Lgende
prompt $ commande taper <paramtre remplacer>
retour de la commande
sur une ou plusieurs lignes
prompt $

1.4. propos de ce document


Ce document constitue le Guide de lutilisateur WAB 4.1. Ce guide vous sera utile si les rgles
techniques et organisationnelles de votre entreprise vous demandent dutiliser les services du WAB
pour accder aux quipements que vous administrez (serveurs, quipements rseau, quipements
de scurit, interfaces dadministration Web).
Il vous aidera :
utiliser linterface Web pour prendre connaissance de vos autorisations daccs, changer votre
mot de passe ou tlcharger votre cl SSH publique
utiliser vos outils de connexion habituels dune manire compatible avec le WAB

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 2. Principes Gnraux


Le rle du WAB consiste :
relayer vos connexions SSH, HTTP(S) ou RDP vers les quipements cibles
contrler vos connexions selon les autorisations dfinies dans votre profil
enregistrer vos actions (option active par ladministrateur du WAB)
Pour que le WAB puisse relayer vos connexions, vous devez vous identifier :
avec votre identifiant et votre mot de passe pour les connexions linterface Web du WAB depuis
votre navigateur et pour les connexions aux quipements cibles via les proxys RDP et HTTP(S)
avec votre identifiant et votre mot de passe ou votre cl publique pour les connexions par le
proxy SSH
Vos autorisations dfinissent :
les quipements et les comptes cibles auxquels vous pouvez vous connecter
les protocoles de connexion que vous pouvez utiliser
les plages horaires pendant lesquelles vous pouvez vous connecter aux comptes cibles
une adresse IP source restrictive (optionnelle)
Deux modes de connexion aux comptes cibles existent :
mode auto logon : la connexion au compte cible est automatique, vous navez pas besoin
de connatre le mot de passe associ
mode sans auto logon : la connexion au compte cible est manuelle, vous devez connatre
le mot de passe associ

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 3. Utilisation de linterface Web


Pour accder linterface Web utilisateur, saisissez lURL suivante dans votre navigateur :
https://adresse_ip_du_wab

Note :
Votre navigateur doit tre configur pour accepter les cookies et excuter le JavaScript.
Puis connectez-vous avec les accrditations fournies par ladministrateur du WAB :
Si celui-ci vous a fourni un certificat X509, consultez la section 3.3, Authentification par certificat
X509 , au lieu de procder comme indiqu ci-dessous.
Sinon, entrez votre identifiant et votre mot de passe puis appuyez sur le bouton
Connexion (lidentifiant nest pas sensible la casse) :

Figure 3.1. cran de connexion Wallix AdminBastion

Note :
La langue affiche sur cette page est le franais ou langlais, selon les prfrences linguistiques dfinies dans votre navigateur. Une fois connect, la langue sera celle que
vous aurez configur dans votre compte WAB (voir Section 3.1, Mes Prfrences ).
Si la connexion russit, lcran suivant est affich :

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 3.2. cran aprs authentification


Sur la partie gauche de la page, un menu montre les diffrentes actions possibles. Le menu peut
tre diffrent suivant les utilisateurs et en fonction de leurs privilges.

3.1. Mes Prfrences


Cette page permet de modifier vos paramtres personnels. Il y est possible de :
modifier votre mot de passe
modifier la langue prfre (pour laffichage de linterface Web et des messages sur les proxys)
modifier votre adresse e-mail de contact
charger une cl publique SSH

Note :
Si lauthentification de lutilisateur est lie un annuaire dentreprise, le formulaire de
changement de mot de passe ne sera pas accessible.
Selon le paramtrage de WAB, il sera parfois ncessaire de modifier votre mot de passe :
lors de lexpiration imminente du mot de passe : un message signalant la future expiration du
mot de passe est affich lutilisateur lors de sa connexion linterface Web
lors de la modification initiale du mot de passe pour le droit daccs aux quipements

Wallix AdminBastion 4.1 - Guide de lutilisateur


Certains mots de passe peuvent tre refuss (paramtrage tabli par ladministrateur
dAdminBastion) :
si le mot de passe est dans la liste des mots de passe interdits par ladministrateur du WAB
si le mot de passe est trop court ou ne contient pas assez de caractres spciaux, chiffres ou
majuscules
si le mot de passe est identique lidentifiant utilisateur
si le mot de passe est identique lun des prcdents mots de passe

Figure 3.3. Prfrences dun utilisateur

3.2. Mes Autorisations


Ce menu permet dafficher la liste des quipements accessibles.
Pour les accs des cibles via RDP ou SSH, deux icnes sont proposes :
Icne
( Fichier RDP , Fichier WABPutty sur Windows ou Fichier SSH sur les autres
systmes) : cette icne permet de tlcharger un fichier, qui peut tre sauvegard, pour tablir
une connexion partir du client Microsoft pour RDP et du client SSH (fichier avec le suffixe
.puttywab sur Windows et avec le suffixe .sh sur Linux).
Icne
( Accs unique ) : cette icne permet douvrir le fichier pour tablir immdiatement
une connexion partir du client Microsoft pour RDP et Putty pour SSH sans avoir saisir de
mot de passe. Le mot de passe contenu dans le fichier est usage unique et nest valable que
pendant 30 secondes pour des raisons de scurit.

Wallix AdminBastion 4.1 - Guide de lutilisateur


Pour pouvoir utiliser les fichiers .puttywab sur Windows, il faut auparavant tlcharger et installer lapplication WABPutty partir du lien afficher sur cette page. Linstallation de WABPutty
prend en charge lassociation des fichiers afin que lapplication soit dmarrer automatiquement.
Linstallation ne ncessite pas de privilges dadministration ; cependant linstallation est uniquement pour lutilisateur connect et non pour lensemble des utilisateurs du poste de travail.
Concernant les accs des ressources HTTP/HTTPS, une icne permet daccder directement
la ressource via linterface Web.

Figure 3.4. Autorisations dun utilisateur

3.3. Authentification par certificat X509


Le WAB permet lauthentification par certificat X509 sur linterface Web si votre administrateur la
autoris pour votre compte utilisateur.
Dans ce cas votre administrateur doit vous fournir un certificat, en fichier au format PKCS12 ou
sous forme de mdium physique (cl USB, carte puce, etc...).
Si votre certificat est stock sous forme physique, vous devez dabord insrer le mdium (insrer la
carte puce dans le lecteur connect votre poste ou connecter la cl USB) pour que le certificat
soit disponible dans le systme.
Sil sagit dun fichier, vous devez dabord importer ce certificat dans le navigateur pour que
lauthentification puisse lutiliser. La manire de procder dpend du navigateur :
Sous Firefox, slectionnez le menu dition | Prfrences , ouvrez longlet Avanc |
Certificats , cliquez sur le bouton Afficher les certificats , puis dans longlet Vos certificats
cliquez sur le bouton Importer .
Sous Chrome, cliquez sur licne Personnaliser et contrler Chrome ct de la barre
dadresse, slectionnez Paramtres dans le menu, en bas de la page cliquez sur Afficher
les paramtres avancs , puis dans la section HTTPS/SSL cliquez sur le bouton Grer les
certificats et enfin dans longlet Vos certificats cliquez sur le bouton Importer .
Sous Internet Explorer, cliquez sur Outils , slectionnez Options Internet dans le menu,
allez sur longlet Contenu et cliquez sur le bouton Certificats , puis dans longlet Personnel cliquez sur le bouton Importer et suivez les indications de lassistant.
Si le mode dauthentification X509 est activ, la page de connexion est modifie comme ceci :

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 3.5. cran de connexion avec certificats


Vous pouvez alors :
soit entrer un identifiant et un mot de passe puis cliquer sur le bouton Connexion de la partie
Authentification par mot de passe , auquel cas la procdure est la mme que celle dcrite au
dbut du chapitre 3, Utilisation de linterface Web ;
soit cliquer directement sur le bouton Connexion de la partie Authentification par certificat
X509 . Dans ce cas votre navigateur vous demandera de choisir un certificat (si vous en avez
plusieurs et que le navigateur na pas prcdemment mmoris votre choix) puis vous demandera si besoin dentrer le mot de passe de ce certificat. Si le certificat a t associ un compte
du WAB, vous serez immdiatement authentifi et connect sous cette identit.

Note :
Si votre certificat est stock sous forme physique, le mdium doit tre prsent pendant
toute la phase dauthentification.
Tant que vous resterez connect sur linterface graphique en X509 un mode dauthentification
alternatif sera disponible sur les proxys. Veuillez vous rfrer au chapitre Section 4.3, Authentification simplifie en mode X509 .

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 4. Connexion aux quipement cibles


4.1. Gnralits
Entre le WAB et les quipements cibles (zone de confiance), des connexions SSH, RDP, HTTP(S),
VNC, Telnet et Rlogin peuvent tre tablies.
Entre les postes de travail et le WAB (zone hostile), seuls les protocoles chiffrs SSH, RDP et
HTTPS sont admis.
WAB vous permet de continuer utiliser ses outils habituels : clients SSH en mode texte ou graphique, ou client RDP, sur plate-forme Unix, Windows ou Mac OS X.
Toutefois, la forme de la ligne de commande et/ou le paramtrage du client graphique peuvent
lgrement diffrer pour prendre en compte lindirection introduite par le WAB (voir sections cidessous).

4.2. Authentification par mot de passe ou par cl


WAB permet les authentifications SSH de type local par mot de passe ou par cl. Dans le cas
dune authentification par cl, aucun mot de passe nest demand par le WAB lors dune connexion
SSH.
Toutefois, lutilisateur doit toujours fournir son mot de passe pour les connexions linterface Web
dadministration du WAB, au proxy HTTPS et vers les quipements RDP.

Note :
La cl publique SSH de lutilisateur doit tre entre soit par ladministrateur via linterface
Web dadministration, soit par lutilisateur via la page Mes Prfrences (cf Section 3.1,
Mes Prfrences ).
Le mcanisme dauthentification par cl SSH permet galement lutilisation dun agent rsident
sur le poste client. Celui-ci permet de conserver les paramtres dauthentification et ainsi de ne
demander quune seule fois le mot de passe de protection des cls, au dmarrage de lagent ou
la premire utilisation de la cl. La cl peut alors tre rutilis par la suite sans avoir re-saisir
le mot de passe chaque fois. Lutilisation de lagent se fait de manire transparente avec tous
les clients qui le supportent.
Lutilisation de lagent dauthentification permet aussi en option de transfrer les paramtres
dauthentification du client sur le WAB afin quil puisse les utiliser pour lauthentification vers les
cibles. Cette fonctionnalit permet donc lutilisation des cls prives du client par le WAB sans quil
y ait besoin de re-saisir de mot de passe ni que le WAB ait connaissance de ces cls prives.
Pour cela il faut la plupart du temps activer explicitement loption lors du lancement des clients car
ceux-ci ne lactivent gnralement pas par dfaut pour des raisons de scurit. Certains clients qui
supportent lutilisation dagents ne supportent pas loption de transfert dauthentification.

4.2.1. Gnration dune cl sous Linux


Pour gnrer et utiliser une cl de chiffrement avec openSSH sous Linux, vous pouvez appliquer
la procdure dcrite ci-dessous.

Wallix AdminBastion 4.1 - Guide de lutilisateur


Il est galement possible dutiliser le fichier ~/.ssh/id_rsa qui est lidentit utilise par dfaut
par toutes les commandes OpenSSH. Dans ce cas, si ce fichier existe dj vous pouvez ignorer
les deux premiers points de cette section et importer le fichier ~/.ssh/id_rsa.pub dans le WAB
(cf Section 3.1, Mes Prfrences ).
Dans cet exemple lidentit de la cl prive sappelle wab_rsa2048 mais vous pouvez utiliser
nimporte quel autre nom de fichier valide. Il est nanmoins prfrable que cette cl soit stocke
dans le rpertoire .ssh de votre dossier HOME.
Dans un terminal, excutez la commande suivante pour gnrer la paire de cls (publique et
prive)
$ ssh-keygen -t rsa -f ~/.ssh/wab_rsa2048
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/martin/.ssh/wab_rsa2048.
Your public key has been saved in /home/martin/.ssh/wab_rsa2048.pub.

Vous pouvez galement utiliser le paramtre -b TAILLE pour modifier la taille de la cl. La taille
par dfaut dune cl RSA dans la version actuelle de ssh-keygen est de 2048 bits ce qui est
une valeur raisonnable. Pour un usage au del de 2030, une cl de 4096 bits est toutefois recommande.
Importez le fichier ~/.ssh/wab_rsa2048.pub dans le WAB. Reportez-vous pour cela Section 3.1, Mes Prfrences .
Si vous nutilisez pas dagent dauthentification, les commandes ssh, scp et sftp utiliseront directement soit la cl de lidentit par dfaut ~/.ssh/id_rsa, soit la cl prive passe en argument
avec le paramtre -i CL, par exemple :
$ ssh -t -i ~/.ssh/wab_rsa2048 -l root@asterix:martin wab.mycorp.lan
Enter passphrase for key '/home/martin/.ssh/wab_rsa2048':

Si vous utilisez un agent dauthentification, vous devrez importer la cl prive chaque redmarrage de lagent.
$ ssh-add ~/.ssh/wab_rsa2048
Enter passphrase for /home/martin/.ssh/wab_rsa2048:
Identity added: /home/martin/.ssh/wab_rsa2048 (/home/martin/.ssh/wab_rsa2048)

Vous pourrez alors vous connecter au proxy ssh sans avoir besoin dentrer de nouveau le mot
de passe ni de passer le paramtre -i sur la ligne de commande (ssh essaiera automatiquement
toutes les identits ajoutes dans lagent).
Lancez votre connexion SSH comme dcrit Section 3.1, Mes Prfrences .

4.2.2. Gnration dune cl sous Windows


Pour gnrer avec PuTTY et utiliser une cl de chiffrement SSH sous Windows, vous pouvez appliquer la procdure dcrite ci-dessous. Dans cet exemple la cl prive sappelle wab_rsa2048 mais
vous pouvez utiliser nimporte quel nom de fichier valide.
Lancez PuTTYgen depuis le menu Dmarrer de Windows.
Dans la rubrique Paramtres , changez les options comme suit pour gnrer une cl SSH-2
RSA de 2048 bits. (Veuillez noter que pour un usage au del de 2030, une cl de 4096 bits est
recommande.)

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.1. PuTTYgen


Cliquez sur le bouton Generate (Gnrer) puis bougez la souris de manire alatoire pour
ajouter de lentropie.
Une fois la cl gnre, entrez un mot de passe de votre choix dans le champ Key passphrase (Mot de passe de la cl) et une deuxime fois dans le champ Confirm passphrase (Confirmation du mot de passe).
Vous pouvez galement entrer une courte description dans le champ Key comment .
Cliquez sur le bouton Save private key (Sauvegarder la cl prive) et enregistrez la cl dans
votre rpertoire utilisateur, par exemple sous Mes documents\wab_rsa2048.ppk.
Slectionnez le champ situ sous le libell Public key for pasting into OpenSSH autorized_keys
file (Cl publique coller dans le fichier autorized_keys dOpenSSH), slectionnez tout le texte
du champ (en utilisant loption Select All du menu contextuel appel par le bouton droit de la
souris ou en pressant simultanment les touches Ctrl et A), puis copiez-le dans le presse-papiers
(en utilisant loption Copy du menu contextuel ou en pressant simultanment les touches
Ctrl et C).

10

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.2. PuTTYgen aprs gnration de la cl


Crez un document texte vide en ouvrant le Bloc-notes depuis le menu Dmarrer. Copiez-y
le texte en utilisant le menu contextuel ou en pressant simultanment les touches Ctrl et
V. Enregistrez enfin ce document contenant la cl publique, par exemple sous Mes documents\wab_rsa2048.pub.txt, puis fermez PuTTYgen et le Bloc-notes.
Importez ce fichier de cl publique dans le WAB. Reportez-vous Section 3.1, Mes Prfrences .
Importez la cl prive dans votre client SSH pour lutiliser lors de la connexion, en utilisant lune
des mthodes suivantes :
Si vous utilisez lagent dauthentification Pageant :
Lancez Pageant depuis le menu Dmarrer sil ne lest pas dj, puis double cliquez sur son
icne
qui apparat dans la zone de notification de la barre des tches de Windows. Dans la
fentre qui souvre cliquez sur le bouton Add Key et choisissez le fichier de la cl prive
Mes documents\wab_rsa2048.ppk

11

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.3. Pageant


Vous pouvez alors vous connecter votre proxy avec PuTTY, PSCP, PSFTP, Filezilla ou
WinSCP (si ce dernier nest pas configur pour ne pas utiliser lauthentification Pageant).
Alternativement pour ajouter la cl vous pouvez simplement double cliquer sur le fichier de la
cl prive dans lExplorateur de fichier. Il faut pour cela que lextension de fichier .ppk ait
t associe avec le programme Pageant.
Si vous utilisez PuTTY sans Pageant :
Lancez PuTTY depuis le menu Dmarrer. Dans larborescence des paramtres de configuration choisissez la catgorie Connection / SSH / Auth , puis dans la section Authentication parameters cliquez sur le bouton Browse et choisissez le fichier de la cl
prive Mes documents\wab_rsa2048.ppk.
Noubliez pas de sauvegarder les paramtres de configuration de la session si vous voulez
les rutiliser.
Si vous utilisez PSCP ou PSFTP sans Pageant :
Ajoutez le paramtre -i CL sur la ligne de commande.
$ pscp -scp -i "C:\Documents and Settings\martin\Mes documents\wab_rsa2048.ppk"
myfile martin@wab.mycorp.lan:root@asterix:/tmp
Passphrase for key "rsa-key-20120914":

Si vous utilisez Filezilla sans Pageant :


Ouvrez le menu dition / Paramtres puis dans la liste slectionnez la page de la
rubrique SFTP. Cliquez sur le bouton Ajouter une cl prive et choisissez le fichier de la
cl prive Mes documents\wab_rsa2048.ppk

12

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.4. Paramtres SFTP de Filezilla


Si vous utilisez WinSCP sans Pageant :
Sur la page de configuration de la session (voir plus loin la figure 4.8, Configuration de
WinSCP ) cliquez sur le bouton ... dans le champs Fichier de cl prive et slectionnez
le fichier Mes documents\wab_rsa2048.ppk
Lancez votre connexion SSH comme dcrit Section 4.5, Connexions SSH depuis un poste de
travail Windows .

Note :
Pour utiliser la fonctionnalit de transfert dauthentification par lagent SSH il est ncessaire dutiliser Pagent.

4.3. Authentification simplifie en mode X509


Le WAB permet lauthentification par certificat X509 sur linterface Web comme expliqu Section 3.3, Authentification par certificat X509 . Si vous tes connects de cette manire, un mcanisme dauthentification spcial sapplique aux clients des proxys qui se connectent depuis la
mme adresse IP que celle depuis laquelle vous tes connect linterface Web : le proxy se
met en attente pendant quune fentre de confirmation apparat dans votre navigateur pour vous
demander si vous autorisez la nouvelle connexion.
Si vous acceptez, la connexion se fera immdiatement sur le proxy sans avoir besoin dutiliser de
cl ou dentrer de mot de passe.
Si vous refusez ou ne rpondez pas dans les 30 secondes, la connexion au proxy sera interrompue.

Avertissement :
Avec la plupart des clients, un message vous informera que le proxy attend confirmation
de linterface Web utilisateur. Ce nest pas le cas quand vous utilisez un client SCP ou
SFTP, qui restent en attente silencieusement car ils ne sont pas prvus pour afficher de
message du serveur.

13

Wallix AdminBastion 4.1 - Guide de lutilisateur


Si vous dsirez revenir au comportement normal dauthentification des proxys, il suffit de vous
dconnecter de linterface Web.

4.4. Connexions SSH depuis un poste de travail Unix/


Linux
La suite doutils openssh est la suite de clients ssh la plus gnralement disponible sur Linux et
les diffrentes versions dUnix, cette section dcrit donc lutilisation du WAB seulement avec celleci. Dautres suites doutils similaires peuvent tre disponibles sur diffrents parfums dUnix mais
prsentent gnralement les mmes fonctionnalits. Veuillez vous rfrer dans ce cas la page
de manuel correspondante pour vrifier la syntaxe correcte de votre suite particulire.
Les exemples qui suivent dans les sections 4.4.1 4.4.6 fonctionnent avec une authentification par
mot de passe ou par cl, avec ou sans agent dauthentification.

4.4.1. Session shell


$ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan
martin's password:

martin dsigne un utilisateur dclar dans WAB et ayant


SSH_SHELL_SESSION . Cet identifiant nest pas sensible la casse.

lautorisation

wab.mycorp.lan est le FQDN du WAB.


root@asterix:OpenSSH dsigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible la casse.

Note :
Selon la configuration mise en place par ladministrateur, il est possible quune accrditation soit demande pour le compte root@asterix:OpenSSH.
La syntaxe alternative suivante est aussi accepte pour raison de compatibilit, mais elle est dsaprouve :
$ ssh -t martin@wab.mycorp.lan root@asterix:OpenSSH
martin's password:

Note :
Loption -t est indispensable dans ce cas. Elle permet lallocation du pseudo-terminal
ncessaire laffichage de la session.
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ ssh -t martin@wab.mycorp.lan root@asterix
martin's password:

4.4.2. Excution de commande(s) distance


Avec WAB, il est possible de dclencher lexcution dune commande distance sur une ou plusieurs machines si vous disposez de lautorisation SSH_REMOTE_COMMAND (cf Section 5.2,

14

Wallix AdminBastion 4.1 - Guide de lutilisateur


Spcificits SSH ). La connexion automatique ( auto logon ) doit galement tre active sur
le compte cible.
$ ssh -l root@asterix:OpenSSH:martin wab.mycorp.lan halt
martin's password:

ou en utilisant lancienne syntaxe dsaprouve


$ ssh martin@wab.mycorp.lan root@asterix:OpenSSH halt
martin's password:

ou sil ny a quun seul service SSH, TELNET ou RLOGIN sur cette machine
$ ssh martin@wab.mycorp.lan root@asterix halt
martin's password:

Ainsi, la commande halt est excute sur la machine asterix , sans ouverture du shell.

4.4.3. Transfert de fichier avec SCP


Transfert du client vers la cible :
$ scp myfile root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp
martin's password:

martin dsigne un utilisateur dclar dans WAB et ayant lautorisation SSH_SCP_UP .


Cet identifiant nest pas sensible la casse.
root@asterix+OpenSSH dsigne le compte (root), la machine (asterix) et le service
(OpenSSH). Cette partie est sensible la casse. La connexion automatique ( auto logon ) doit
tre active sur ce compte.
Transfert de la cible vers le client :
$ scp root@asterix+OpenSSH+martin@wab.mycorp.lan:/tmp/myfile /tmp
martin's password:

martin dsigne un utilisateur dclar dans WAB et ayant lautorisation SSH_SCP_DOWN .


Cet identifiant nest pas sensible la casse.
root@asterix+OpenSSH dsigne le compte (root), la machine (asterix) et le service
(OpenSSH). Cette partie est sensible la casse. La connexion automatique ( auto logon ) doit
tre active sur ce compte.
La syntaxe alternative suivante est aussi accepte pour raison de compatibilit, mais elle est dsaprouve :
$ scp myfile martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp
martin's password:
$ scp martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp/myfile /tmp
martin's password:

Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ scp myfile martin@wab.mycorp.lan:root@asterix:/tmp
martin's password:

15

Wallix AdminBastion 4.1 - Guide de lutilisateur


$ scp martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp
martin's password:

4.4.4. Transfert de fichier avec SFTP


$ sftp root@asterix:OpenSSH:martin@wab.mycorp.lan
Connecting to wab.mycorp.lan...
martin's password:
sftp>

martin dsigne un utilisateur dclar dans WAB et ayant lautorisation SFTP_SESSION .


Cet identifiant nest pas sensible la casse.
root@asterix:OpenSSH dsigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible la casse. La connexion automatique ( auto logon ) doit
tre active sur ce compte.
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ sftp root@asterix:martin@wab.mycorp.lan
Connecting to wab.mycorp.lan...
martin's password:
sftp>

4.4.5. Session X11


$ ssh -X -l root@asterix:OpenSSH:martin wab.mycorp.lan
martin's password:

martin dsigne un utilisateur dclar dans WAB et


SSH_X11_SESSION . Cet identifiant nest pas sensible la casse.

ayant

lautorisation

root@asterix:OpenSSH dsigne le compte (root), la machine (asterix) et le service cible


(OpenSSH). Cette partie est sensible la casse.
Loption -X de la ligne de commande ssh indique au WAB que lon souhaite initier une session
de type X11 Forwarding : les applications graphiques lances sur lquipement cible dans le
cadre de cette session safficheront sur le poste de travail.
La syntaxe alternative suivante est aussi accepte pour raison de compatibilit, mais elle est dsaprouve :
$ ssh -t -X martin@wab.mycorp.lan root@asterix:OpenSSH
martin's password:

Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom du
service peut tre omis :
$ ssh -t -X martin@wab.mycorp.lan root@asterix
martin's password:

4.4.6. Se connecter sans connatre le nom de la cible


Le WAB permet de lister les quipements accessibles un utilisateur. Il suffit pour cela de ne
pas prciser la cible dans la commande de connexion. Ceci nest nanmoins possible quavec les
sessions interactives (shell ou X11).

16

Wallix AdminBastion 4.1 - Guide de lutilisateur


La liste de ces quipements saffiche en utilisant la commande suivante :
$ ssh -t martin@wab.mycorp.lan
martin's password:
| ID | Site (page 1/1)
|----|----------------------------------| 0 | root@centos:ssh_2222
| 1 | root@asterix:OpenSSH
Enter h for help, ctrl-D to quit

Slectionnez alors la cible voulue en entrant son numro.

4.4.7. Se connecter avec lagent dauthentification


Si vous dsirez utiliser lagent dauthentification, vous devez le dmarrer et y ajouter vos paramtres
dauthentification avant dutiliser les commandes de connexion.

Note :
Dans certains environnements graphiques, un agent contenant toutes les identits de
lutilisateur est dj activ lors du login. Les commandes dcrites ci-dessous ne sont
alors pas ncessaires. Cest gnralement le cas sur les distributions base Debian ou
Ubuntu, mais pas sur les distributions base RedHat. Cela peut toutefois varier selon
votre configuration.
Lancez dabord lagent rsident dans votre session shell par la commande suivante ; celle-ci ajoute
la dclaration de lagent dans lenvironnement du shell de manire quil soit utilisable automatiquement par les programmes compatibles :
$ eval $(ssh-agent)

Ajoutez ensuite une ou plusieurs identits cet agent.


$ ssh-add CHEMIN_CL_PRIVE
Enter passphrase for CHEMIN_CL_PRIVE:

CHEMIN_CL_PRIVE dsigne le chemin de la cl prive de lidentit dsire, gnralement


stocke dans le rpertoire ~/.ssh , par exemple ~/.ssh/id_rsa .
Vous pouvez alors utiliser lune des commandes de connexion dcrites dans les sections prcdentes (4.4.1 4.4.6) sans avoir re-saisir le mot de passe. Celles-ci utiliseront automatiquement
lagent pour les authentifications par cls tant quil sera disponible et dclar dans lenvironnement
du shell.

4.4.8. Se connecter en activant le transfert dauthentification


Si vous utilisez lagent dauthentification, vous pouvez activer loption de transfert dauthentification
si celle-ci est galement active dans le WAB sur le compte cible voulu. Ceci nest possible quavec
les sessions shell ou commande distance, en ajoutant loption -A comme ceci :
$ ssh -A -t martin@wab.mycorp.lan

Loption -A de la ligne de commande ssh indique au WAB que lon souhaite initier une session
avec transfert dauthentification : si loption est galement active dans la dclaration du compte

17

Wallix AdminBastion 4.1 - Guide de lutilisateur


cible demand, les paramtres dauthentification utiliss pour la connexion au WAB seront rutiliss
pour se connecter la cible.

Avertissement :
Le transfert dauthentification nest pas compatible avec les cls RSA de plus de 2048
bits et ne fonctionne pas si lagent contient la fois des identits RSA et DSA.

4.4.9. SCP avec le transfert dauthentification


Le client scp dOpenSSH nest pas directement compatible avec le transfert dauthentification. Il
existe toutefois un moyen de le faire fonctionner au moyen dun script wrapper et dun script lanceur
qui passent les bonnes options la commande ssh sous-jacente.
Crez, dans un rpertoire de votre PATH, le fichier script lanceur nomm scp-A et contenant
ceci :
#!/bin/sh
scp -oForwardAgent=yes -S scp-A-wrapper "$@"

Crez ensuite dans le mme rpertoire le script wrapper scp-A-wrapper avec le contenu suivant :
#!/usr/bin/perl
exec '/usr/bin/ssh', map {($_ =~ /^-oForwardAgent[ =]no$/) || ($_ eq '-a') ? (
) : $_} @ARGV;

Rendez ces deux fichiers excutables avec la commande chmod


$ chmod +x scp-A scp-A-wrapper

Vous pouvez alors utiliser le script lanceur scp-A en lieu et place de la commande scp
$ scp-A myfile martin@wab.mycorp.lan:root@asterix:/tmp
$ scp-A martin@wab.mycorp.lan:root@asterix:/tmp/myfile /tmp

18

Wallix AdminBastion 4.1 - Guide de lutilisateur

4.5. Connexions SSH depuis un poste de travail Windows


4.5.1. Session shell avec le logiciel PuTTY

Figure 4.5. Configuration de Putty


La zone Specify the destination you want to connect to avec :
Host Name : FQDN du WAB.
Port : entrer la valeur 22 (port dcoute du proxy SSH du WAB).
Dans le panneau Connection/Data , entrer le nom du compte cible, de lquipement, du service
cible et lidentifiant de lutilisateur WAB dans le champ Auto-login username (lidentifiant de
lutilisateur WAB nest pas sensible la casse, contrairement au reste) :

19

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.6. Configuration de Putty (2/2)


Putty ne permet pas de sauvegarder le mot de passe de lutilisateur. Celui-ci vous sera demand
la connexion si vous utilisez ce mode dauthentification.
Si vous dsirez utiliser lauthentification par cl sans utiliser lagent dauthentification, vous pouvez galement spcifier le fichier de cl prive dans le champ Private key file for authentication du panneau Connection/SSH/Auth . Cela nest pas ncessaire si vous utilisez lagent
dauthentification.

Note :
Pour utiliser lagent dauthentification (voir Section 4.5.5, Se connecter avec lagent
dauthentification ) vous devez vous assurer que loption Attempt authentication using
Pageant est bien coche dans le panneau Connection/SSH/Auth .

4.5.2. Transfert de fichier avec PSCP


C:\> pscp -scp myfile martin@wab.mycorp.lan:root@asterix:OpenSSH:/tmp
martin's password :

La commande ci-dessus permet de transfrer le fichier myfile entre le poste local et le rpertoire
/tmp laide du compte root sur lquipement asterix . La connexion automatique ( auto
logon ) doit tre active sur ce compte.

4.5.3. Transfert de fichier avec FileZilla


Entrer les informations suivantes dans le Gestionnaire de sites :
Hte : wab.mycorp.lan est le FQDN du WAB.
Port : 22 est le port dcoute TCP du proxy ssh .
Type de serveur : choisir SFTP SSH File Transfer Procotol

20

Wallix AdminBastion 4.1 - Guide de lutilisateur


Type dauthentification : choisir Normale
Utilisateur :
martin dsigne un utilisateur dclar dans WAB et ayant lautorisation SFTP_SESSION .
Cet identifiant nest pas sensible la casse.
root@asterix:OpenSSH dsigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible la casse. La connexion automatique ( auto logon )
doit tre active sur ce compte.
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom
du service peut tre omis comme ceci : root@asterix
Mot de passe : mot de passe WAB de lutilisateur

Figure 4.7. Filezilla - Gestionnaire de site

4.5.4. Transfert de fichier avec WinSCP


Entrer les informations suivantes dans lcran Session :
Host name : wab.mycorp.lan est le FQDN du WAB.
Port number : 22 est le port dcoute TCP du proxy ssh.
User name :
martin dsigne un utilisateur dclar dans WAB et ayant lautorisation SFTP_SESSION .
Cet identifiant nest pas sensible la casse.
root@asterix:OpenSSH dsigne le compte (root), la machine (asterix) et le service cible
(OpenSSH). Cette partie est sensible la casse. La connexion automatique ( auto logon )
doit tre active sur ce compte.
Sil ny a quun seul service SSH, TELNET ou RLOGIN dclar sur la machine cible, le nom
du service peut tre omis comme ceci : root@asterix
File protocol : choisir SFTP

21

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.8. Configuration de WinSCP


Dans lcran Preferences , cliquez sur le bouton Preferences puis rendez vous sur lcran
Transfer .

22

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.9. Configuration des prfrences de WinSCP


Vous devez cocher la case Ignore permission errors dans le cadre Upload options puis
dcocher la case Preserve timestamp dans le cadre Common options

Note :
Il faut imprativement effectuer les oprations mentionnes ci-dessus dans cet ordre. La
case Preserve timestamp une fois dcoche empche toute modification de la case
Ignore permission errors .

Note :
Pour utiliser lagent dauthentification (voir Section 4.5.5, Se connecter avec lagent
dauthentification ) vous devez vous assurer que loption Essayer lauthentification
avec Pageant est bien coche dans le panneau SSH/Authentification des Options
avances .

4.5.5. Se connecter avec lagent dauthentification


Si vous dsirez utiliser lagent dauthentification, vous devez le dmarrer et y ajouter vos paramtres
dauthentification avant dutiliser PuTTY, WinSCP ou FileZilla.
Lancez dabord lagent dauthentification Pageant depuis le menu Dmarrer de Windows.
Ajoutez ensuite une ou plusieurs identits cet agent. Cliquez pour cela avec le bouton droit de
la souris sur licne de Pageant dans la zone de notification de la barre des tches et slectionnez
Add key dans le menu.

23

Wallix AdminBastion 4.1 - Guide de lutilisateur


Vous pouvez alors utiliser lun des programmes dcrits dans les sections prcdentes (4.5.1
4.5.4) sans avoir re-saisir le mot de passe. Ceux-ci utiliseront automatiquement lagent pour les
authentifications par cls tant quil sera disponible.

4.5.6. Se connecter avec PuTTY en activant le transfert


dauthentification
Si vous utilisez lagent dauthentification, vous pouvez utiliser loption de transfert dauthentification
si celle-ci est galement active sur le compte cible voulu.
Dans le panneau Connection/SSH/Auth , cochez loption Allow agent forwarding pour indiquer au WAB que lon souhaite initier une session avec transfert dauthentification : si loption est
galement active dans la dclaration du compte cible demand, les paramtres dauthentification
utiliss pour la connexion au WAB seront rutiliss pour se connecter la cible.

Avertissement :
Le transfert dauthentification nest pas compatible avec les cls RSA de plus de 2048
bits et ne fonctionne pas si lagent contient la fois des identits RSA et DSA.

4.6. Connexions RDP


4.6.1. Depuis un poste de travail Windows (XP, Vista, Seven)
Louverture dune session RDP depuis un poste de travail Windows peut soprer selon deux
modes : depuis linterface Web ou directement depuis le client Terminal Server ( Connexion bureau distance ).

4.6.1.1. Connexion depuis linterface Web


Dans le panneau Mes autorisations , un clic sur licne reprsentant une disquette (compte cible
de type RDP) ouvre une fentre qui vous permet :
de vous connecter au proxy RDP du WAB puis, daccder la machine Windows distante
de tlcharger sur votre poste de travail le fichier de configuration RDP pour votre client Terminal
Server
Un clic sur licne disquette affiche une fentre de ce type dans votre navigateur :

24

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.10. Enregistrement dun fichier .rdp


Le bouton Ouvrir provoque le lancement du client Terminal Server de votre poste de travail.

4.6.1.2. Connexion depuis le client Terminal Server


Se connecter au proxy RDP du WAB grce au client Terminal Server :

Figure 4.11. Client Terminal Server


Un clic sur le bouton Connexion fait apparatre la mire vue en Figure 4.14, Mire de connexion
RDP .
Le
champ

login

doit
contenir
administrateur@win2003:BureauDistant:martin o :

une

expression

de

type

martin dsigne un utilisateur dclar dans le WAB ayant lautorisation RDP . Cet identifiant
nest pas sensible la casse.

25

Wallix AdminBastion 4.1 - Guide de lutilisateur


administrateur@win2003:BureauDistant dsigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) dune cible dclare sur le WAB et auquel lutilisateur
martin a accs. Cette partie est sensible la casse.
Sil ny a quun seul service RDP ou VNC dclar sur la machine cible, le nom du service peut
tre omis comme ceci : administrateur@win2003
le champ password doit tre renseign avec le mot de passe WAB de lutilisateur martin .
Un clic sur le bouton OK tablit la connexion avec la machine distante et la session Windows
apparat sur votre poste de travail.
Il est galement possible dindiquer uniquement un nom dutilisateur WAB. On accde alors une
page intermdiaire qui affiche la liste des serveurs accessibles :

Figure 4.12. Slecteur RDP


Le slecteur montre toutes les ressources accessibles, le groupe auxquelles elles appartiennent,
le type de serveur distant (VNC ou RDP) et lheure laquelle la connexion sera coupe automatiquement. Si un serveur accessible appartient diffrents groupes, plusieurs entres correspondant la mme ressource distante apparatront dans la liste. Si la liste est longue, il est possible
dappliquer un filtre sur le groupe ou le compte pour affiner la recherche.
Il suffit alors de slectionner (ligne en surbrillance) le serveur dsir et de cliquer sur Connect
pour accder au serveur distant.
Avant la connexion lquipement proprement dite, diffrentes botes de dialogue peuvent tre affiches et/ou demander confirmation lutilisateur. Lutilisateur peut ainsi tre prvenu que sa ses-

26

Wallix AdminBastion 4.1 - Guide de lutilisateur


sion est enregistre, que son mot de passe va bientt expirer, ou de lheure laquelle la connexion
sera coupe automatiquement.

Note :
Il est galement possible de se logger sur la console distante. Pour cela, il faut lancer
le client MSTSC laide de linvite Excuter de Windows (Dmarrer Excuter)
laide de mstsc /admin ou mstsc /console selon vos versions de Windows (le paramtre /
admin doit tre utilis partir de Windows Vista SP3).

Figure 4.13. Paramtres de lancement du client MSTSC sous Windows 7

sur le Device redirection :


Le proxy RDP embarqu dans le WAB permet le device redirection , cest--dire la
possibilit de faire apparatre, dans le Poste de travail de la session Windows distante,
des ressources du poste de travail local : imprimante, rpertoire, presse-papier,...
Cette fonctionnalit autorise notamment le transfert de fichiers par drag & drop entre
les deux machines Windows, lintrieur mme de la session RDP ou bien encore le
copier-coller de texte entre le poste local et la machine distante. Attention, il peut tre
ncessaire de lactiver depuis linterface du Client Terminal Serveur pour quelle soit
disponible.

4.6.2. Depuis un poste de travail Linux


Sous Linux, vous pouvez utilisez le client RDP rdesktop ou un quivalent. Ce document prsente
lutilisation de rdesktop.
$ rdesktop wab.mycorp.lan

La commande ci-dessus provoque laffichage de la fentre suivante :

27

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.14. Mire de connexion RDP


Le
champ

login

doit
contenir
une
administrateur@win2003:BureauDistant:martin dans laquelle :

expression

de

type

martin dsigne un utilisateur dclar dans le WAB ayant lautorisation RDP . Cet identifiant
nest pas sensible la casse.
administrateur@win2003:BureauDistant dsigne le compte (administrateur), la machine
(win2003) et le service (BureauDistant) dune cible dclare sur le WAB auquel lutilisateur martin a accs. Cette partie est sensible la casse.
Sil ny a quun seul service RDP ou VNC dclar sur la machine cible, le nom du service peut
tre omis comme ceci : administrateur@win2003
le champ password doit tre renseign avec le mot de passe WAB de lutilisateur martin
Un clic sur le bouton OK tablit la connexion avec la machine distante et la session Windows
apparat sur votre poste de travail.
Il est galement possible de renseigner le paramtre login sur la ligne de commande rdesktop.
Ainsi, la ligne de commande
$ rdesktop -u administrateur@win2003:BureauDistant:martin wab.mycorp.lan

provoque directement laffichage de la fentre ci-dessous :

28

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.15. Fentre de connexion RDP pr-remplie


Il ne reste plus alors qu renseigner le champ password et cliquer sur le bouton OK pour
tablir la connexion avec la machine distante.
Il est galement possible dindiquer uniquement un nom dutilisateur WAB. On accde alors une
page intermdiaire qui affiche la liste des serveurs accessibles :

Figure 4.16. Slecteur RDP

29

Wallix AdminBastion 4.1 - Guide de lutilisateur


Le slecteur montre toutes les ressources accessibles, le groupe auxquelles elles appartiennent,
le type de serveur distant (VNC ou RDP) et lheure laquelle la connexion sera coupe automatiquement. Si un serveur accessible appartient diffrents groupes, plusieurs entres correspondant la mme ressource distante apparatront dans la liste. Si la liste est longue, il est possible
dappliquer un filtre sur le groupe ou le compte pour affiner la recherche.
Il suffit alors de slectionner (ligne en surbrillance) le serveur dsir et de cliquer sur Connect pour
accder au serveur distant.
Avant la connexion lquipement proprement dite, diffrentes botes de dialogue peuvent tre
affiches et/ou demander confirmation lutilisateur. Lutilisateur peut ainsi tre prvenu que sa
session est enregistre, que son mot de passe va bientt expirer, o de lheure o la connexion
sera coupe automatiquement.

Note :
Voici quelques options utiles pour rdesktop :
-u permet de saisir le login
-g 1024x768 permet de choisir la rsolution dsire (remplacez 1024x768 par la taille
dsire).
-a 24 permet de choisir la profondeur de couleur (bits par pixel). Les valeurs supportes
sont 8, 15, 16 et 24
-0 permet de se connecter la console du poste distant

4.7. Connexions HTTPS


Les connexions HTTPS se font travers un client Web (Voir avec votre administrateur pour la liste
des clients supports).
Dans le panneau Mes autorisations , un clic sur licne reprsentant un globe
de type HTTP(S)) permet douvrir directement un accs HTTPS vers la cible.

30

(compte cible

Wallix AdminBastion 4.1 - Guide de lutilisateur

Figure 4.17. Page Ouverture de session HTTPS


Une fois la session sur le compte cible active, la navigation sur la ressource HTTP(S) se fait de
la mme faon que si elle avait t accde directement.

Note :
Une session ouverte sur le proxy HTTPS sera ferme si aucune activit na t constate
au bout de 5 min (pas daccs la cible).

31

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 5. Problmes de connexion


5.1. Gnralits
Une connexion vers un compte cible peut chouer pour les raisons suivantes :
le service WAB est indisponible ou non accessible
lidentifiant et/ou le mot de passe utilisateur est/sont erron(s)
lquipement cible est inaccessible
le compte cible nexiste pas
le mot de passe du compte cible est erron
laccs au compte cible nest pas autoris
tentative de connexion en dehors de la plage horaire autorise
le protocole nest pas autoris
le nombre maximal de connexions simultanes autoris est atteint (cf : licence)

5.2. Spcificits SSH


Le protocole SSH est divis en sous-systmes :
SSH_SHELL_SESSION : ouverture dun shell
SSH_SCP_UP : transfert de fichier(s) vers lquipement cible
SSH_SCP_DOWN : transfert de fichier(s) depuis lquipement cible
SFTP_SESSION : transfert de fichier(s) bi-directionnel par SFTP
SSH_REMOTE_COMMAND : excution de commandes distance
SSH_X11_SESSION : affichage dapplications X11 sexcutant sur un quipement cible
Chacun de ces sous-systmes fait lobjet dune autorisation spcifique sur le WAB.
Louverture dun shell distant ou le transfert dun fichier peut vous tre refus si vous ne possdez
pas lautorisation sur le sous-systme concern.
Attention, certains clients rclament galement lautorisation SSH_SHELL_SESSION pour effectuer le listing des rpertoires quand il sont utiliss en mode SCP.
Veuillez aussi remarquer que lutilisation des sous protocoles SCP et SFTP ne fonctionne que si la
connexion automatique ( auto logon ) est active pour le compte cible utilis car ces protocoles
ne permettent pas dentrer interactivement le mot de passe secondaire.
Exemple de message derreur SSH :
$ ssh -t root@obelix:martin@wab.mycorp.lan
martin's password:
Unknown account or device
Connection to wab.mycorp.lan closed by remote host.
Connection to wab.mycorp.lan closed.
$

32

Wallix AdminBastion 4.1 - Guide de lutilisateur

5.3. Session SSH muette


Sur certaines plates-formes cibles, il arrive que les caractres mis par lquipement cible ne
saffichent pas lcran et que lcho des caractres entrs au clavier soit absent.
Ce problme a notamment t dtect sur les cibles suivantes :
serveurs Telnet Open Solaris
serveurs Telnet Solaris 8
Il est rsolu en supprimant lallocation dun pseudo-terminal (tty).
Ce qui donne en ligne de commande sous Unix/Linux :
$ ssh root@obelix:martin@wab.mycorp.lan
martin's password:

Sous Windows avec PuTTY, loption dcocher se trouve dans le sous-menu SSH/TTY

Figure 5.1. Dsactiver le TTY sous Putty

33

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 6. Note sur lenregistrement des


sessions
Comme annonc louverture dune connexion SSH et dans la mire de connexion RDP, le WAB a
la capacit denregistrer les sessions utilisateurs (sauf les sessions X11).
Les commandes que vous entrez depuis votre poste de travail (clavier/souris) ainsi que les rponses de lquipement cible auquel vous tes connect et qui sont affiches sur votre cran
peuvent tre stockes, puis consultes ultrieurement.
Cette fonctionnalit peut tre active et les enregistrements peuvent tre visualiss tout moment
par un administrateur du WAB autoris.

34

Wallix AdminBastion 4.1 - Guide de lutilisateur

Chapitre 7. Accs au service Support


Le service support Wallix AdminBastion est accessible du lundi au vendredi, hors jours fris, de
9H 19H, heure de Paris, par les moyens suivants :
Courriel : wabsupport@rt.wallix.com
Tlphone : 01 70 36 37 50 (depuis la France) / +33 1 70 36 37 50 (international)

35